TerraMaster TOS中的关键漏洞可能会导致NAS设备遭到远程黑客攻击

研究人员已经披露了TerraMaster网络连接存储（TNAS）设备中关键安全漏洞的详细信息，这些设备可以链接起来，以获得最高权限的未经验证的远程代码执行。

埃塞俄比亚网络安全研究公司Octagon Networks的保罗·伊贝洛（Paulos Yiblo）在与《黑客新闻》分享的一份声明中说，这些问题存在于TerraMaster操作系统的缩写TOS中，并且“可以允许未经验证的攻击者通过知道IP地址的方式访问受害者的邮箱”。

TOS是为TNAS设备设计的操作系统，使用户能够管理存储、安装应用程序和备份数据。在负责任的披露之后，上周于2022年3月1日发布的TOS版本4.2.30修补了这些缺陷。

其中一个问题被追踪为CVE-2022-24990，涉及一个名为“webNasIPS”的组件中的信息泄漏，导致TOS固件版本、默认网关接口的IP和MAC地址以及管理员密码的散列。

另一方面，第二个缺点与名为“createRaid”（CVE-2022-24989）的PHP模块中的命令注入缺陷有关，导致两个问题可以串连在一起，以提交精心编制的命令来实现远程代码执行。

“总而言之，这是一个非常有趣的项目，”伊贝洛说。“我们使用了一个信息泄漏的多个组件，以及机器时间的另一个信息泄漏，并将其与经过身份验证的OS命令注入链接起来，以根用户身份实现未经身份验证的远程代码执行。

TerraMaster NAS设备也受到了Deadbolt勒索软件的攻击，就像QNAP和ASUSTOR一样。该公司指出，它解决了可能被威胁者利用的漏洞，在TOS版本4.2.30中部署了勒索软件。

目前尚不清楚Octagon Networks发现的同一组漏洞是否已被武器化，用于致命感染。我们已经联系TerraMaster寻求进一步的评论，如果我们得到回复，我们将更新这个故事。

该公司指出，“修复了与死锁勒索软件攻击相关的安全漏洞”，并建议用户“重新安装TOS系统的最新版本（4.2.30或更高版本），以防止未加密的文件继续被加密。